Re : Re: grub2 uefi et raid

[k6dedijon]

Bonjour,
La réponse de Wallace est bonne.
Mais elle nécessite un disque par distro.

Tu peux essayer de mettre une image de fond différente par distribution, mettre 
un écran de connexion différent (ssdm).
Tu peux aussi paramétrer Grub pour qu'il indique sur quelle partition est le 
système sur lequel tu vas démarrer.
Cela se traduira par une ligne de menu :
Debian X (on dev/sdYY)
X= numéro de version de Debiaan
YY= lettre du lecteur et le numéro de partition
Par exemple :
Debian 10 (on dev/sdc3)

Bon courage
Cassis



- Mail d'origine -
De: Wallace 
À: debian-user-french@lists.debian.org
Envoyé: Wed, 20 Oct 2021 12:38:55 +0200 (CEST)
Objet: Re: grub2 uefi et raid

Tu t'es aventuré dans une installation compliquée.

Pour ma part j'ai arrêté de faire du multiboot géré par un OS ça finit 
toujours mal lors d'une réinstallation d'un OS.

Sur mon ordi fixe qui a plusieurs OS, lorsque je fais une installation 
je débranche tous les disques non concernés, puis quand j'ai tout 
rebranché, je fais F8 pour choisir le disque sur lequel je veux booter 
si j'en veux un différent du par défaut.

Bon courage

Le 20/10/2021 à 06:43, Jean-Michel OLTRA a écrit :
>  Bonjour,
>
>
> Le mardi 19 octobre 2021, Kohler Gerard a écrit...
>
>
>> Le problème : je ne me rappelle plus quel est le Debian qui gère le Grub, ni
>> sur quel disque et quelle partition il est installé.
>>
>> comment faire pour avoir ces réponses ?
> Avec `fdisk -l` ou au menu de grub lors du boot (commande `find` de grub).
>
>> habituellement pour installer une nouvelle version je clone ma partition
>> système et je fais un upgrade. comment faire pour réinstaller Grub et sur
>> quelle partition/DD ?
> Avec grub-install, je pense.
>

Re: Activer le SSL sur un port différent que le 443

[Philippe]

Salut la liste !

Dans un cas comme celui-ci, je réessayerais en commentant ces instructions :

> SSLOptions +StrictRequire
> SSLCipherSuite 
> ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-$

car ce sont elles qui posent le plus souvent problème. J'essayerais avec les 
suites cypher
les moins strictes possibles, puis je les restreindrais petit à petit.

Bonne pioche,

Ph. Gras

Activer le SSL sur un port différent que le 443

[JUPIN Alain]

Bonjour,

Sur une install Debian 10.11 (à jour) avec  Apache 2, j'ai un petit 
soucis avec SSL, que je veux faire écouter sur un port différent, le 
8443 au lieu du port standard (443).


Avec l'install de base, quand j'entre dans mon navigateur (Firefox), 
l'URL du site (sans spécification de port, donc le port standard 443), 
je tombe sur le "default-ssl", avec un certificat autosigné (donc 
Firefox rouspète un peu) jusque là OK.


Je configure mon VirtualHost :

    DocumentRoot /var/www/live/
    ServerName live.mondomaine.fr

    
    Options +FollowSymLinks
                AllowOverride All
                Order allow,deny
                Allow from All
    

    SSLEngine on
    SSLCertificateFile 
/etc/letsencrypt/live/live.mondomaine.fr/cert.pem
    SSLCertificateKeyFile 
/etc/letsencrypt/live/live.mondomaine.fr/privkey.pem
    SSLCertificateChainFile 
/etc/letsencrypt/live/live.mondomaine.fr/chain.pem

    SSLProtocol all -SSLv2 -SSLv3 +TLSv1.2 +TLSv1.3
    SSLHonorCipherOrder on
    SSLCompression off
    SSLOptions +StrictRequire
    SSLCipherSuite 
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-$



Dans ports.conf :
Listen 80


    Listen 443
    Listen 8443 https



Je vérifie la config
# apachectl -t
Syntax OK

J'active le nouveau VirtualHost avec a2enssite

Je vais dans mon navigateur et que je demande l'URL 
https://live.mondomaine.fr:8443/ là j'ai droit à un 
SSL_ERROR_RX_RECORD_TOO_LONG

Le serveur écoute bien sur le port 8443, mais semble renvoyer du HTTP !

Si je désactive le default-ssl.conf, cela ne change absolument rien !
J'ai beau chercher et tourner les configs dans tous les sens, je passe a 
coté de quelque chose ... sans doute trivial !

Bref si vous avez une idée ?

--
Alain JUPIN
Lumières d'Ici ... et d'Ailleurs 

Re: Vieille version de knoppix

[NoSpam]

Bonjour Didier

il y a une erreur dans les liens, i383 devrait être i386

Je vous invite à consulter https://wiki.debian.org/fr/DebianRepository
afin d'obtenir pour l'URL correspondante. Pour Etch elle serait de type

http://ftp.de.debian.org/debian-archive/debian/dists/etch/

(à adapter bien sûr)

Le 21/10/2021 à 14:38, Grégoire Scano a écrit :

Bonjour Didier,

la liste debian-l10n-french est consacrée à la traduction de Debian en
français, je redirige donc ton message vers la liste debian-user-french
dédiée à aider les utilisateurs et dont les membres pourront sûrement
t'aider.

Merci de ne pas m'inclure dans le fil de discussion,
Grégoire

On 10/21/21 3:56 PM, Didier Romieu wrote:

Bonjour.
Sur un vieux portable (Pentium III 2.5Ghz, 256Mo de RAM, 60GO de disque)
qui ne peut booter que sur une disquette ou un cd (rw max 700Mo), j'ai
installé sur le disque dur Knoppix 6.7 !
La connexion réseau fonctionne par un clé USB wifi.
Tout est pour le mieux.
Mais peut-on encore utiliser les commandes de mise a jour "apt-get
update et upgrade" ?
J'obtiens des messages d'erreur comme :
"Impossible de récupérer
http://ftp.de.debian.org/dists/stable/updates/main/binary-i383/Packages.gz
"
404 Not found [IP : 151.101.2.132 80]
ou
"Impossible de récupérer
http://security.debian.org/debian/dists/experimental/contrib/binary-i383/Packages.gz
"
Ce qui semble normal au vu de l'ancienneté du logiciel.
Mais existe-t-il une solution de secours ?
En vous remerciant.

*Didier ROMIEU*

--
Daniel

Vieille version de knoppix

[Grégoire Scano]

Bonjour Didier,

la liste debian-l10n-french est consacrée à la traduction de Debian en
français, je redirige donc ton message vers la liste debian-user-french
dédiée à aider les utilisateurs et dont les membres pourront sûrement
t'aider.

Merci de ne pas m'inclure dans le fil de discussion,
Grégoire

On 10/21/21 3:56 PM, Didier Romieu wrote:
> Bonjour.
> Sur un vieux portable (Pentium III 2.5Ghz, 256Mo de RAM, 60GO de disque)
> qui ne peut booter que sur une disquette ou un cd (rw max 700Mo), j'ai
> installé sur le disque dur Knoppix 6.7 !
> La connexion réseau fonctionne par un clé USB wifi.
> Tout est pour le mieux.
> Mais peut-on encore utiliser les commandes de mise a jour "apt-get
> update et upgrade" ?
> J'obtiens des messages d'erreur comme :
> "Impossible de récupérer
> http://ftp.de.debian.org/dists/stable/updates/main/binary-i383/Packages.gz
> "
> 404 Not found [IP : 151.101.2.132 80]
> ou
> "Impossible de récupérer
> http://security.debian.org/debian/dists/experimental/contrib/binary-i383/Packages.gz
> "
> Ce qui semble normal au vu de l'ancienneté du logiciel.
> Mais existe-t-il une solution de secours ?
> En vous remerciant.
> 
> *Didier ROMIEU*

Quel usage pour ip monitor ?

[Olivier]

Bonjour,

Je viens de découvrir "ip monitor" (cf [1]).

À part constituer des logs, quel usage peut-on faire d'un tel outil ?

[1] https://man7.org/linux/man-pages/man8/ip-monitor.8.html

Slts

Re: Nftables/Conntrack: confusion ctmark/fwmark

[Olivier]

D'après mes essais, il semble que la marque appelée fwmark dans ip rule
correspond à une marque sur le paquet (mark) et pas celle sur les
connexions (connmark).

J'espère que ça pourra aider quelqu'un d'autre.
Slts

Le lun. 18 oct. 2021 à 16:18, Olivier  a écrit :

> Dans [1], j'ai lu:
> nft add rule inet classify output ip daddr 1.1.1.1 ct mark set numgen inc
> mod 3 offset 390
> nft add rule inet classify output ip daddr 1.1.1.1 meta mark set ct mark
>
> Qui pourrait m'expliquer ces 2 lignes ?
>
> [1] https://forums.gentoo.org/viewtopic-t-1136379-start-0.html
>
> Le lun. 18 oct. 2021 à 16:17, Olivier  a écrit :
>
>> Bonjour,
>>
>> Je découvre nftables sur une machine équipée de Bullseye.
>>
>> Sur cette machine j'ai les règles:
>>
>> # ip rule show
>> 0: from all lookup local
>> 0: from all fwmark 0x2 lookup link2
>> 32766: from all lookup main
>> 32767: from all lookup default
>>
>> J'aimerai que nftables ajoute une marque donnée pour le trafic non-marqué
>> reçu sur une interface Ethernet donnée, auto-configurée par DHCP.
>> Comment l'obtenir ?
>>
>> J'ai essayé (sans succès) où ens3.432 est le nom de l'interface
>> (virtuelle) sur laquelle le trafic est reçu:
>>
>> add rule ip mangle input iifname "ens3.432" meta mark 0 log prefix
>> "Rule42-A1" counter ct mark set 0x2
>>
>> La table mangle et sa chaine input sont définies par:
>>
>> table mangle {
>> chain prerouting { type filter hook prerouting priority -150; }
>> chain input { type filter hook input priority -150; }
>> chain forward { type filter hook forward priority -150; }
>> chain output { type route hook output priority -150; }
>> chain postrouting { type filter hook postrouting priority -150; }
>> }
>>
>> Dans les faits, j'observe que:
>>
>> - la règle mangle ci-dessus est exécutée car je elle figure dans les logs
>> et la commande "conntrack -L -o id,extended" montre qu'une marque est
>> appliquée sur le rafic avec l'émetteur
>>
>> - la réponse est émise vers l'émetteur avec la bonne adresse source mais
>> une autre interface (celle par défaut).
>>
>> Ces deux observations me laissent pense que la règle "fwmark 0x2 lookup
>> link2" est ignorée.
>> Cette conviction est renforcée par le fait que quand je remplace cette
>> règle par une règle basée sur l'IP source ("from 192.168.17.0/24 lookup
>> link2"), l'émetteur reçoit la réponse via la bonne interface.
>> Comme l'interface est configurée par DHCP, j'aimerai autant que possible
>> ne pas utiliser de règle faisant intervenir des données que je ne maîtrise
>> pas (ie celles fournies par le serveur DHCP).
>>
>> J'ai l'impression que:
>> soit il y a une confusion de ma part entre les marques de conntrack et
>> celles de nftables,
>> soit il y a une erreur dans la définition de la chaine input ou sa table
>> mangle,
>> soit encore autre chose.
>>
>> Qui pourrait me mettre sur la bonne voie ?
>>
>> Slts
>>
>>
>>